iT邦幫忙

2024 iThome 鐵人賽

DAY 19
0
Security

資訊安全管理系統制度白手起家系列 第 20

[Day 19] 績效總結:管理審查

  • 分享至 

  • xImage
  •  

當ISMS已經完成規劃、執行以及內部稽核活動後,ISMS週期最後一個重要活動就是要向最高管理階層報告ISMS在這一個週期 (通常是一年) 內運作的績效以及ISMS的活動狀態,讓最高管理階層確認ISMS是否有效的滿足由最高管理階層所制訂的政策,對ISMS一個週期的運作做一次總結,而這個報告的活動即為管理審查 (Management Review)

管理審查是ISO管理系統主要活動週期的最後一個重要活動,旨在讓最高管理階層了解在一個週期之內管理系統的運作狀況,確認管理系統已達到必要的目標,符合組織的政策,並給予其允許管理系統持續運作的信心。

主條文9.3規定了管理審查所必須要報告 (輸入) 的事項,缺一不可:

https://ithelp.ithome.com.tw/upload/images/20241003/20168427YGx4eIcpHM.png

主條文並沒有規定管理審查的形式。

管理審查大多以會議方式進行,若是較大的組織則可能會有委員會之類的團隊預先進行審查,再向最高管理階層報告審查結果的活動,無論活動的作法為何,管理審查之記錄都應該包含主條文9.3.2所規定之各個事項,以及最高管理階層的審查結果,活動中亦要包含對持續改善之機會 (9.3.2(g)) 相關之決策,以及任何對ISMS變更之需要的討論或審查,並將結果記錄下來,作為管理審查的執行證據。

當管理審查完成後,整個ISMS週期的活動即宣告完成,到了這個時候,組織應該已經累積了ISMS所有必要的強制性文件、各控制措施的管理制度及相關的執行記錄,以備外部稽核時作為審查及證據之用。當然,管理審查只是一個週期的結果,只要最高管理階層沒有下達廢除ISMS的指令,ISMS就仍然要依照組織所制訂的過程不斷的持續運作,以持續的發揮它應有的價值。


上一篇
[Day 18] 確認管理系統制度的有效性:內部稽核
下一篇
[Day 20] 矯正行動與持續改善
系列文
資訊安全管理系統制度白手起家32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言